Artigo 135, Parágrafo 2, Inciso IV da Resolução CNMP nº 281 de 12 de Dezembro de 2023
Institui a Política Nacional de Proteção de Dados Pessoais e o Sistema Nacional de Proteção de Dados Pessoais no Ministério Público e dá outras providências.
Art. 135
A violação ou o vazamento de dados pessoais, voluntária ou acidentalmente, é considerado um incidente de segurança no tratamento, notadamente se ocasionar destruição, perda, alteração, subtração, cópia, transferência, comunicação ou difusão de dado pessoal.
§ 1º
Ocorre o incidente de segurança no tratamento de dados pessoais quando se verifica, sem autorização ou de maneira acidental, uma ou mais das seguintes violações ou perdas:
I
da confidencialidade: quando há uso, divulgação ou acesso indevido do dado pessoal;
II
da integridade: quando há alteração do dado pessoal; e
III
da disponibilidade: quando há perda de acesso ou destruição do dado pessoal.
§ 2º
Também pode caracterizar risco de violação de dados pessoais, de probabilidade e relevância variáveis, quando o tratamento causar danos físicos, materiais ou morais e imateriais, em especial:
I
quando possa dar origem à discriminação, à usurpação ou subtração da identidade, a perdas financeiras, a prejuízos para a reputação, a perdas de confidencialidade de dados pessoais protegidos por sigilo profissional, à inversão não autorizada da pseudonimização ou a quaisquer outros prejuízos importantes de natureza econômica ou social;
II
quando os titulares possam ficar privados dos seus direitos e liberdades ou impedidos do exercício do controle sobre os respetivos dados pessoais;
III
quando forem revelados, sem autorização, dados pessoais sensíveis;
IV
quando forem avaliados aspectos de natureza pessoal, em particular análises ou previsões de aspectos que digam respeito ao desempenho no trabalho, à situação econômica, à saúde, às preferências ou aos interesses pessoais, à fiabilidade ou comportamento e à localização ou aos deslocamentos das pessoas, a fim de definir ou fazer uso de perfis;
V
quando forem tratados indevidamente dados relativos a pessoas naturais vulneráveis, em particular crianças e adolescentes; ou
VI
quando o tratamento incidir sobre uma grande quantidade de dados pessoais e afetar um grande número de titulares.
§ 3º
O controlador e o operador deverão assegurar que o tratamento de dados pessoais não seja efetuado por pessoas não autorizadas, obrigando-se a garantir a segurança da informação em relação a tais dados, mesmo após o término do tratamento.